Ich habe kürzlich mein TPM gelöscht (Dell e7240, Windows 10). Während des Vorgangs haben Bios oder Windows zu keinem Zeitpunkt nach einem neuen TPM-Kennwort gefragt. (Und zu keinem Zeitpunkt, seit ich diesen Laptop gekauft habe, habe ich nach bestem Wissen ein TPM-Passwort festgelegt.) Ich habe versucht, sowohl über Windows (mit TPM.MSC) als auch über Bios zu löschen, und bei beiden Methoden wurde ich nicht gefragt für ein neues Passwort.
TPM.MSC meldet, dass das TPM "einsatzbereit" ist. Wenn ich jedoch auf "Eigentümerkennwort ändern" klicke, wird nach dem alten Kennwort gefragt, obwohl ich das TPM gerade gelöscht habe.
Ist es möglich, das TPM-Passwort zu löschen?
OSManagedAuthLevel=2
bedeutet delegiert. Sie können versuchen, es auf 4 (Full) zu setzen und neu zu starten, und dann das TPM erneut löschen. Lesen Sie die relevanten Teile des Artikels.Antworten:
Ich hatte das gleiche problem Folgendes habe ich nach langem Suchen herausgefunden: In späteren Versionen von Windows 10 können Sie das TPM-Besitzerkennwort standardmäßig nicht festlegen, speichern oder ändern. Das Kennwort wird von Windows generiert und von Windows zum Konfigurieren des TPM verwendet. Anschließend wird es verworfen. Auf diese Weise kann niemand das TPM manipulieren, nachdem es aktiviert wurde. In der Tat existiert das Besitzerkennwort nicht mehr. Sie können diese Sicherheitsfunktion deaktivieren, indem Sie einen Registrierungswert ändern, das TPM löschen und einen Neustart durchführen. Danach können Sie das TPM-Besitzerkennwort festlegen und ändern. Lesen Sie diesen Artikel: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396
Nachdem ich den Artikel gelesen hatte, entschied ich mich, die Dinge so zu belassen, wie sie sind, mit der neuen Windows-Standardeinstellung (dh keine Möglichkeit, auf das TPM-Besitzerkennwort zuzugreifen oder es zu ändern). Sie benötigen das TPM-Besitzerkennwort nur, wenn die PC-Sicherheit in einem Unternehmenssetup zentral verwaltet wird und ein Sicherheitsadministrator remote auf das TPM zugreifen muss. In einer eigenständigen Anwendung ist ein Fernzugriff auf das TPM nicht erforderlich oder wünschenswert. Sie können alles tun, was Sie benötigen, ohne das TPM-Kennwort zu verwenden, wenn Sie physischen Zugriff auf den PC haben.
quelle
Disable-TpmAutoProvisioning
Befehl powershell tun möchten. technet.microsoft.com/en-us/library/jj603114.aspxPowerShell Zurücksetzen von TPM
Sie können einige der PowerShell-TPM-Befehle testen, indem Sie sie über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten (als Administrator ausführen) ausführen, um die TPM-Einstellungen zurückzusetzen.
Clearing
Weitere Informationen finden Sie unter Clear-Tpm und Set-TpmOwnerAuth. Nachfolgend sind einige Beispiele aufgeführt, um einen Versuch zu starten :
Clear-Tpm
Initialize-Tpm -AllowClear -AllowPhysicalPresence
Standardwert
Möglicherweise möchten Sie auch Initialize-Tpm überprüfen und beachten, dass das Cmdlet versucht, den Wert aus der Registrierung zu lesen , wenn Sie keinen Berechtigungswert für den Besitzer angeben. Dies kann dazu führen, dass standardmäßig gelesen und festgelegt wird, wovon Sie nichts wissen dieser Wert.
Neuer Wert
Möglicherweise möchten Sie den Befehl ConvertTo-TpmOwnerAuth ausführen , um die neue Besitzerkennphrase explizit anzugeben. Binden Sie dies also entsprechend in Ihren Prozess ein:
ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"
Konfigurieren lokaler Gruppenrichtlinieneinstellungen für BitLocker
Wie ich in einem Kommentar unten vor ein paar Tagen bereits ausgeführt habe, werden im Folgenden die Schritte zum Einrichten der TPM-Verschlüsselung auf PCs ohne Domänenbeitritt in einer der von mir unterstützten Umgebungen beschrieben.
Gehen Sie zu Start > Ausführen > geben Sie gpedit.msc ein und drücken Sie
Enter
und navigieren Sie dann zu # 6, wie im folgenden Screenshot gezeigtSie möchten die Einstellungen an der obigen Position Nr. 6 mit den Werten aus den beiden folgenden Screenshots vornehmen
Gehen Sie als nächstes zu Systemsteuerung > Bitlocker-Laufwerkverschlüsselung > wählen Sie BitLocker einschalten und drücken Sie dann
Next
im Fenster wie im folgenden ScreenshotAuf dem Vorbereiten der Antrieb für die BitLocker - Fenster drücken
Next
Wenn die Laufwerkvorbereitung abgeschlossen ist, klicken Sie auf die
Restart Now
OptionMelden Sie sich nach dem Neustart wieder auf dem Computer an, und wählen Sie die Option aus, wenn das Setup- Fenster für BitLocker Drive Encryption angezeigt wird
Next
Wählen Sie die Option aus, wenn das Fenster TPM-Sicherheitshardware einschalten auf Ihrem Bildschirm angezeigt wird
Restart
Melden Sie sich nach dem Neustart wieder auf dem Computer an, und wählen Sie die Option aus, wenn das Setup- Fenster für BitLocker Drive Encryption angezeigt wird
Next
Sie werden dann aufgefordert, eine PIN einzugeben. Geben Sie die PIN in beide Felder ein (siehe Abbildung unten) und drücken Sie die
Set PIN
OptionWenn das Fenster Wie möchten Sie Ihren Wiederherstellungsschlüssel sichern ? Angezeigt wird, müssen Sie die Option In Datei speichern und anschließend die
Next
Option drücken . Sie müssen sicherstellen, dass Sie dies auf einem USB-Stick ablegen, diesen Wiederherstellungsschlüssel darauf speichern und ihn später an eine andere Stelle kopieren, z. B. auf ein Netzwerklaufwerk usw.Unter Wählen Sie aus, wie viel von Ihrem Laufwerk verschlüsselt werden soll , habe ich in meinem Fall nur den für neue PC-Setups verwendeten Speicherplatz zum Verschlüsseln ausgewählt. Sie können jedoch hier die für Ihre Anforderungen am besten geeignete Option auswählen und dann die
Next
Option drückenIm Fenster Wählen Sie aus, welchen Verschlüsselungsmodus Sie verwenden möchten, aktivieren Sie die entsprechende Option für Ihre Umgebung. Die Option, die ich in dieser Umgebung auf meiner Seite auswähle, wird im folgenden Screenshot angezeigt
Lesen Sie auch So löschen Sie den TPM-Chip von früheren Eigentumsnachweisen und befolgen Sie diese Anweisungen Schritt für Schritt, falls Sie dies noch nicht getan haben.
quelle
Clear-Tpm
und das ging gut. Vor dem Neustart lief ich auchDisable-TpmAutoProvisioning
. Nach dem Neustart war das TPM noch nicht bereit. Ich rannte dannInitialize-Tpm -AllowClear -AllowPhysicalPresence
. Der Befehl dauerte einen Moment, dann wurde zurückgegeben, dass das TPM bereit ist.tpm.msc
sagt auch, dass es fertig ist. Ich wurde nie nach einem Besitzerkennwort gefragt.-ForceClearAllowed
und des Beispiels-PhysicalPresenceAllowed
sind beide ungültig, und ein Kommentar zum Artikel besagt dies ebenfalls.Initialize-Tpm
scheint keine Möglichkeit zu haben, das neue Besitzerkennwort wie von Ihnen angegeben anzugeben.ConvertTo-TpmOwnerAuth
legt eigentlich nichts fest - es konvertiert nur eine Zeichenfolge in einen Berechtigungswert für den Eigentümer (was auch immer das bedeutet).Ich vermute, es ist ein Fehler mit Windows 10. Ich hatte genau das gleiche Problem wie OP. Hier sind meine Ergebnisse. Ich habe zwei PCs, A und B, beide haben die TPM-Spezifikation 1.2; beide haben Bitlocker aktiviert. A ist Windows 10 1607, B ist Windows 10 1511.
Verwenden Sie TPM.MSC für A. Ich kann TPM löschen, ohne das Besitzerkennwort anzugeben, für alle anderen Aktionen ist jedoch ein Besitzerkennwort erforderlich. Für B ist jedoch für keine dieser Aktionen ein Besitzerkennwort erforderlich.
Auf PC A löschte ich TPM über das BIOS, startete neu und überprüfte noch einmal, ob der TPM-Status deaktiviert und im BIOS nicht enthalten war. Starten Sie Windows über das Wiederherstellungskennwort (stellen Sie sicher, dass Sie Ihr Wiederherstellungskennwort haben, wenn Sie dies auf Ihrem PC versuchen), bereiten Sie TPM über TPM.MSC vor und folgen Sie dem Assistenten Automatisch Besitzerkennwort merken, bla bla ... "(genau wie vaindil), ich hatte nie die Gelegenheit, das TPM-Besitzerkennwort zu speichern. Ich starte dann in BIOS neu und TPM hat jetzt den aktivierten und besessenen Status. Diese bestätigten Fenster übernahmen tatsächlich das TPM-Eigentum. Es wurde dem Benutzer lediglich nie die Möglichkeit geboten, das Besitzerkennwort zu speichern. Ich frage mich auch, wo das Passwort gespeichert wurde, registrieren?
Interessanterweise hatte ich auf PC B die Möglichkeit, das Besitzerkennwort in AD zu speichern, abzulegen oder auszudrucken.
Mir scheint, das Problem hängt mit dem Build 1607 zusammen. Wenn ich irgendwie 1511 Installationsmedien bekommen kann, werde ich es auf jeden Fall auf PC A versuchen, um es zu bestätigen.
quelle
Hallo, ich habe meinen Kopf in die Wand geschlagen und am nächsten Morgen endlich eine Lösung gefunden. Folgen Sie einfach den unten aufgeführten Schritten.
Legen Sie Ihren TPM-Eigentümer fest, falls noch nicht geschehen. nicht sehr schwer. Gehe zur BIOS-Einstellung, aktiviere sie und gib die Erlaubnis, auch von Windows aus zu verwalten. Wenn Ihr Bit Locker aktiviert ist. Deaktivieren Sie die BitLocker-Laufwerkverschlüsselung und befolgen Sie die Schritte
CMD als Administrator ausführen ...
1 ---- reg HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / Namespace: \ root \ cimv2 \ Security \ MicrosoftTpm-Pfad Win32_Tpm = @ "SetPhysicalPresenceRequest 14 aufrufen 3 ---- shutdown -r -t 15 mit freundlicher Genehmigung des ursprünglichen Autors. und nach dem Neustart nur ausführen Schritt wird es reibungslos funktionieren. woooaahhh !!! alles erledigt.
quelle